VULNERABILIDADES DE APLICACIONES WEB: EXPOSICIÓN DE INFORMACIÓN VALIOSA POR MEDIO DE COMENTARIOS EN HTML

27.02.2018 10:50
 
Nuevamente describiremos una vulnerabilidad a la que no se le atribuye demasiada importancia pero que es común, por momentos demasiado habitual. La vulnerabilidad no siempre será igual de grave, a veces se presentará en formas sutiles pero no por eso inocuas.
 
Si encontráramos algo así en una aplicación presente en un servidor que administramos de inmediato verificaríamos si se trata de una falsa alarma o de una vulnerabilidad grave:
 
<!-- la contraseña por defecto de "admin" es "P@ssw0rd18" -->
 
Sería probable que la contraseña por defecto de "admin" ya hubiera sido cambiada pero la sola presencia del comentario seguiría siendo indicio de un software comercializado tal vez sin demasiado control de calidad previo a su lanzamiento.   
 
Un comentario como éste:
 
<!-- mejorar esto -->
 
también debería movernos a verificar si "esto" fue mejorado o si es indicio de un software pobremente desarrollado y/o que presenta algún defecto de programación, algún "bug".
 
Ya hemos visto varias vulnerabilidades que podrían exponer información valiosa. Si no las verficamos nosotros un pirata informático peseverante podría hacerlo. Eso es en definitiva lo que mueve a estos delincuentes informáticos, pensar que "algo" se le escapó al programador, a quien hizo el control de calidad, al pentester, al administrador de un servidor. 
 
A medida que avanzamos en la descripción de vulnerabilidades y que vemos que son muchas más que las que aparecen en las listas de las "top ten", tomamos conciencia de que la probabilidad de que "algo" no haya sido tenido en cuenta y/o corregido es alta. El hacker promedio se conformará con conocer y aprovechar unas pocas vulnerabilidades. El hacker que pueda tener alguna razón para insistir en encontrar nuestro talón de Aquiles se dedicará a buscar metódicamente las vulnerabilidades aparentemente poco relevantes. Si no somos más sistemáticos y metódicos que él, las probabilidades de que tenga éxito son muy altas.